Różności i nowinki technologia

Zoom od lat okłamuje użytkowników na temat szyfrowania typu end-to-end, mówi FTC

Założyciel Zoom, Eric Yuan przemawia w Nasdaq.
Powiększać / Założyciel i dyrektor generalny Zoom Eric Yuan przemawia przed ceremonią otwarcia dzwonów Nasdaq 18 kwietnia 2019 r. W Nowym Jorku, gdy firma ogłosiła swoją ofertę publiczną.

Zoom zgodził się ulepszyć swoje praktyki bezpieczeństwa w ramach wstępnej ugody z Federalną Komisją Handlu, która twierdzi, że Zoom okłamał użytkowników przez lata, twierdząc, że oferuje szyfrowanie od końca do końca.

“[S]co najmniej od 2016 r. Zoom wprowadzał użytkowników w błąd, reklamując, że oferuje „od końca do końca, 256-bitowe szyfrowanie”, aby zabezpieczyć komunikację użytkowników, podczas gdy w rzeczywistości zapewnia niższy poziom bezpieczeństwa ”, powiedział FTC w komunikacie. skargi na Zoom i wstępnego ugody. Pomimo obiecującego szyfrowania typu end-to-end, FTC stwierdziło, że „Zoom utrzymywał klucze kryptograficzne, które umożliwiały Zoom dostęp do treści spotkań klientów, i zabezpieczył spotkania Zoom Meetings w część, z niższym poziomem szyfrowania niż obiecany ”.

Skarga FTC mówi, że Zoom twierdził, że oferuje szyfrowanie od końca do końca w swoich przewodnikach zgodności z ustawą HIPAA z czerwca 2016 r. I lipca 2017 r., Które były przeznaczone dla użytkowników usługi wideokonferencji z branży opieki zdrowotnej. Zoom twierdził również, że oferuje szyfrowanie od końca do końca w białej księdze ze stycznia 2019 r., W poście na blogu z kwietnia 2017 r. Oraz w bezpośrednich odpowiedziach na zapytania klientów i potencjalnych klientów.

„W rzeczywistości Zoom nie zapewnił pełnego szyfrowania dla żadnego spotkania Zoom, które zostało przeprowadzone poza produktem Zoom„ Connecter ”(które są hostowane na własnych serwerach klienta), ponieważ serwery Zoom – w tym niektóre zlokalizowane w Chinach – utrzymują klucze kryptograficzne, które pozwoliłyby Zoom na dostęp do treści Zoom Meetings jego klientów ”- napisano w skardze FTC.

W komunikacie FTC stwierdzono, że Zoom „wprowadził w błąd niektórych użytkowników, którzy chcieli przechowywać nagrane spotkania w pamięci firmy w chmurze, fałszywie twierdząc, że spotkania te były szyfrowane natychmiast po zakończeniu spotkania. Zamiast tego niektóre nagrania rzekomo były przechowywane w postaci niezaszyfrowanej przez maksymalnie 60 dni w dniu Serwery Zoom przed przeniesieniem do bezpiecznego magazynu w chmurze ”.

Aby rozstrzygnąć zarzuty, „Zoom zgodził się na wymóg ustanowienia i wdrożenia kompleksowego programu bezpieczeństwa, zakaz wprowadzania w błąd w zakresie prywatności i bezpieczeństwa oraz inne szczegółowe i konkretne ulgi w celu ochrony swojej bazy użytkowników, która wzrosła z 10 milionów w grudniu 2019 r. do 300 milionów w kwietniu 2020 r. podczas pandemii COVID-19 ”- podała FTC. (Dane 10 milionów i 300 milionów odnoszą się do liczby codziennych uczestników spotkań Zoom).

Brak rekompensaty dla użytkowników, których dotyczy problem

Ugoda jest popierana przez republikańską większość FTC, ale Demokraci w komisji sprzeciwiają się, ponieważ umowa nie zapewnia użytkownikom rekompensat.

„Dziś Federalna Komisja Handlu głosowała za zaproponowaniem porozumienia z Zoom, które będzie zgodne z niefortunną formułą FTC” – powiedział Rohit Chopra, demokratyczny komisarz FTC. „Ugoda nie zapewnia pomocy użytkownikom, których dotyczy problem. Nie przynosi ona żadnych korzyści małym firmom, które polegały na roszczeniach Zoom dotyczących ochrony danych. I nie wymaga od Zoom płacenia ani grosza. Komisja musi zmienić kurs”.

Zgodnie z ugodą „Zoom nie ma obowiązku oferować zadośćuczynienia, zwrotów pieniędzy ani nawet powiadamiać swoich klientów, że istotne roszczenia dotyczące bezpieczeństwa usług są fałszywe” – powiedziała komisarz Demokratów Rebecca Kelly Slaughter. „To niepowodzenie proponowanej ugody wyrządza szkodę klientom Zoom i znacznie ogranicza wartość odstraszającą sprawy”. Chociaż ugoda nakłada zobowiązania dotyczące bezpieczeństwa, Slaughter powiedział, że nie zawiera żadnych wymogów, które bezpośrednio chronią prywatność użytkowników.

Zoom jest niezależnym procesem sądowym od inwestorów i konsumentów, które mogą ostatecznie doprowadzić do ugody finansowej.

Ugoda Zoom / FTC w rzeczywistości nie nakazuje szyfrowania od końca do końca, ale Zoom w zeszłym miesiącu ogłosił, że wdraża szyfrowanie od końca do końca w podglądzie technicznym, aby uzyskać opinie użytkowników. Ugoda wymaga, aby Zoom wdrożył środki „(a) wymagające od Użytkowników zabezpieczenia ich kont silnymi, unikalnymi hasłami; (b) używania zautomatyzowanych narzędzi do identyfikacji prób logowania innych niż ludzie; (c) ograniczających szybkość prób logowania w celu zminimalizowania ryzyka ataku brute force oraz (d) implementowanie resetowania haseł dla znanych zagrożonych poświadczeń. “

FTC nazywa ZoomOpener niesprawiedliwym i zwodniczym

Skarga i ugoda FTC obejmuje również kontrowersyjne wdrożenie przez Zoom serwera internetowego ZoomOpener, który omijał protokoły bezpieczeństwa Apple na komputerach Mac. Zoom „potajemnie zainstalował” to oprogramowanie w ramach aktualizacji Zoom for Mac w lipcu 2018 r., Podało FTC.

„Serwer sieciowy ZoomOpener pozwolił Zoom na automatyczne uruchomienie i dołączenie do spotkania z użytkownikiem, omijając zabezpieczenia przeglądarki Apple Safari, które chroniły użytkowników przed popularnym typem złośliwego oprogramowania” – powiedział FTC. „Bez serwera internetowego ZoomOpener przeglądarka Safari wyświetlałaby użytkownikom okno ostrzegawcze przed uruchomieniem aplikacji Zoom z pytaniem, czy chcą uruchomić aplikację”.

Oprogramowanie „zwiększało ryzyko użytkowników związanych ze zdalnym nadzorem wideo przez nieznajomych” i „pozostawało na komputerach użytkowników nawet po usunięciu aplikacji Zoom i automatycznie ponownie instalowało aplikację Zoom – bez żadnych działań ze strony użytkownika – w pewnych okolicznościach” – powiedział FTC . FTC zarzuciło, że wdrożenie oprogramowania przez Zoom bez odpowiedniego powiadomienia lub zgody użytkownika naruszyło prawo USA zabraniające nieuczciwych i zwodniczych praktyk biznesowych.

W obliczu kontrowersji w lipcu 2019 roku Zoom wydał aktualizację, która całkowicie usunęła serwer sieciowy z aplikacji na Maca, o czym wówczas informowaliśmy.

Zoom zgadza się na monitorowanie bezpieczeństwa

Proponowana ugoda jest przedmiotem publicznego komentarza przez 30 dni, po czym FTC będzie głosować nad ostatecznym rozstrzygnięciem. 30-dniowy okres na zgłaszanie uwag rozpocznie się po opublikowaniu ugody w Rejestrze Federalnym. Sprawę FTC i odpowiednie dokumenty można obejrzeć tutaj.

W komunikacie FTC stwierdzono, że Zoom zgodził się podjąć następujące kroki:

  • Oceniać i dokumentować corocznie wszelkie potencjalne wewnętrzne i zewnętrzne zagrożenia bezpieczeństwa i opracowywać sposoby zabezpieczenia się przed takimi zagrożeniami;
  • Wdrożyć program zarządzania podatnościami; i
  • Wdrażaj zabezpieczenia, takie jak uwierzytelnianie wieloskładnikowe, aby chronić przed nieautoryzowanym dostępem do swojej sieci; instytut kontroli usuwania danych; i podejmij kroki, aby zapobiec użyciu znanych, zagrożonych poświadczeń użytkownika.

Część rozliczenia dotycząca usuwania danych wymaga usunięcia wszystkich kopii danych wskazanych do usunięcia w ciągu 31 dni.

Zoom będzie musiał powiadomić FTC o wszelkich naruszeniach danych i nie będzie mógł „przedstawiać nieprawdziwych informacji o swoich praktykach dotyczących prywatności i bezpieczeństwa, w tym o tym, w jaki sposób gromadzi, wykorzystuje, utrzymuje lub ujawnia dane osobowe, jego funkcje bezpieczeństwa oraz zakres, w jakim użytkownicy mogą kontrolować prywatność lub bezpieczeństwo swoich danych osobowych ”- czytamy w komunikacie FTC.

Zoom będzie musiał przejrzeć wszystkie aktualizacje oprogramowania pod kątem luk w zabezpieczeniach i upewnić się, że aktualizacje nie utrudniają funkcji bezpieczeństwa innych firm. Firma będzie również musiała uzyskać ocenę swojego programu ochrony przez stronę trzecią po sfinalizowaniu rozliczenia, a następnie co dwa lata. Wymóg ten obowiązuje przez 20 lat.

Zoom wydał następujące oświadczenie w sprawie dzisiejszego rozliczenia:

Bezpieczeństwo naszych użytkowników jest najwyższym priorytetem dla Zoom. Poważnie traktujemy zaufanie, jakim nasi użytkownicy obdarzają nas każdego dnia, zwłaszcza, że ​​polegają na nas, aby utrzymać ich łączność podczas tego bezprecedensowego globalnego kryzysu, a my stale ulepszamy nasze programy bezpieczeństwa i prywatności. Jesteśmy dumni z postępów, jakie poczyniliśmy na naszej platformie i rozwiązaliśmy już problemy zidentyfikowane przez FTC. Dzisiejsza rezolucja z FTC jest zgodna z naszym zaangażowaniem w innowacje i ulepszanie naszego produktu, ponieważ zapewniamy bezpieczną komunikację wideo.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook